《个人信息保护合规审计管理办法》公开征求意见：企业合规要点解读（下）

《参考要点》第一条即强调，该《参考要点》系“依据《中华人民共和国个人信息保护法》等法律、行政法规和国家标准的强制性要求制定”，即本《参考要点》的有关内容应当要与现存的强制性规定相衔接，其中主要是《个人信息保护法》《网络数据安全管理条例（征求意见稿）》与若干现存的国家标准。事实上，《参考要点》第2条到第31条，均从不同层面体现出了衔接特点。我们就相关重点信息标识如下：

综上所述，结合实际需要，重点关注的审计依据（仅选取正式稿）建议包括4：

除去上表中提及的法律、法规之外，国家市场监督管理总局同样制定了有关的国家标准，如《GB/T 35273-2020 信息安全技术 个人信息安全规范》《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》等若干国家标准，可以作为合规审计工作开展时的参考。另外，我们了解到，全国信息安全标准化技术委员会已经推进有关个人信息保护合规审计的国家标准编制工作，待国家标准正式发布后，能够对审计目标、审计原则、各个审计流程（审计开始前-审计准备阶段-审计实施阶段-审计报告阶段-整改及复核阶段）、审计范围提供更为清晰、详细的指引，包括《管理办法》与《参考要点》中未予明示的问题（如专业机构的范围），应当也能够有所回应。建议企业结合自身个人信息处理活动的情况，及时关注有关动态，进行相应的合规操作。

除去《参考要点》第2条的“合法性基础”之外，本次发布的《参考要点》第5条-第16条分别规定了若干的个人信息处理重要风险情形。我们根据《参考要点》提示的风险情形，结合目前实践中企业合规方面的需求重点提示如下：

（1）企业进行个人信息处理活动时应当符合有关法律、行政法规和国家标准的需要：从实践中看，个人信息处理活动中的违规情形屡见不鲜。2021年5月，网信办通报了包括腾讯手机管家在内的多款app违规过度收集个人信息⁵，要求相关app限期整改。2022年7月，网信办就滴滴公司网络安全审查方面发现的问题，对滴滴公司处以共计80.26亿元的罚款，并对公司的两位高管各处以100万元的罚款6。2023年3月30日，最高人民检察院发布《个人信息保护检察公益诉讼典型案例》⁷，其中通报了服务场所强制采集且不定期删除消费者敏感个人信息、医疗机构非法向有关保险代理机构获取医疗健康信息以进行保险营销、快递企业工作人员利用职务之便泄露个人信息等个人信息保护方面的不合规行为，情节严重时，相关企业和个人的行为可能构成刑事犯罪。因此，企业在进行个人数据处理（包括采集、使用、转让、删除等活动）时，应当结合企业业务实践中与个人信息处理活动相关的高风险事项，注意遵守相关领域的法律、法规、部门规章与国家标准的规定，包括但不限于《个人信息保护法》《网络安全法》《App违法违规收集使用个人信息行为认定方法》《GB/T 35273-2020 信息安全技术 个人信息安全规范》中有关“告知-同意”、“个人信息收集最小必要”“保障个人信息安全”的各项原则等。

（2）自动化决策：《参考要点》第9条提到了有关个人信息处理者利用自动化决策处理个人信息的合规审计要求，该条同样是对各类自动化决策规范要求的细化和总结，包括《个人信息保护法》《生成式人工智能服务管理暂行办法》《互联网信息服务算法推荐管理规定》等法律法规及其他可能特别牵涉的部门法，尤其需要注意自动化模型的事前审查条款设计，包括是否主动告知、是否取得同意、是否进行安全评估、是否进行影响评估、科技伦理审查、便捷保障机制等有关条款，相应地是在算法自动化决策领域对于“告知-同意”为原则的个人信息处理原则进行分层次的细致说明。对于企业来说，在启用自动化决策的相关服务时，首先要对自动化决策可能涉及的算法、模型的数据采集、数据优化、数据标注、数据优化等过程首先予以评估；其次，在自动化决策有关的算法和模型运行时，又要确保整体运行安全、合规，如履行个人信息保护义务，充分保障个人信息主体的权益（如查阅、复制、更正、补充、删除权等）等。其中，《生成式人工智能服务管理暂行办法》作为AIGC（人工智能生成内容）领域的重要管理规则，为有关企业在AIGC领域的具体数据相关活动提供了指引；而本次《管理办法》与AIGC领域的企业密切相关，在本次《管理办法》之后，使用或拟使用AIGC技术的有关企业也应当密切关注有可能出台的行业规定，使个人信息处理活动满足包括分级分类、设置安全技术措施、保障用户权利在内的合规要求。

（3）大型互联网平台存在个人数据保护合规审计的特殊义务：《参考要点》第28条到第31条对“大型互联网平台运营者”提出了更为严格的合规审计要求，包括第28条“外部成员组成的独立机构”、第29条“平台规则的审计重点”、第30条“平台监督义务”、第31条的“社会责任报告”义务。首先，有关条款是对《个人信息保护法》第58条“重要互联网服务平台、用户数量巨大、业务类型复杂的个人信息处理者”应当履行的特殊合规义务条款的细化，包括《个人信息保护法》和本次发布的《管理办法》《参考要点》均未对何为“大型互联网平台运营者”进行有关定义，不过，《网络数据安全管理条例（征求意见稿）》第73条将“大型互联网平台运营者”定义为了“用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者”，也即基于权利与义务相一致的规则，超大型互联网平台应当承担更高的合规审计义务。第二，《参考要点》第30条规定了对大型互联网平台运营者平台监督的要求，结合第29条来看，对大型互联网平台运营者而言，应当做到制定明确的规则以监督、约束平台内的互联网产品或者服务提供者。这不仅是为了符合合规个人信息保护审计的要求，以侵权法的有关法理来看，平台作为互联网网络服务提供者（ISP），如不能对平台内的其他互联网产品或者服务提供者进行良性约束，可能会构成帮助侵权（Contributory Infringement）或者成立“替代责任”（Vicarious Liability）⁸，情节严重时可能构成犯罪。第三，《参考要点》第31条有一项特别的“社会责任报告”要求，是《个人信息保护法》第58条第4款关于“编制社会责任报告”的要求的细化规定。首先，结合《参考要点》第28条的规定，外部独立机构可以对社会责任报告的编制提供指导；另外，《参考要点》第31条首次明确了社会责任报告内容框架，要求企业定期披露内部管理、能力建设、保护措施、重大安全事故处理等个人信息保护活动情况。

《管理办法》与《参考要点》对某些特定风险情形和特定类型的企业进行了特别规定。基于前述，风险情形主要是如需要处理大量敏感个人信息的企业、公共场所图像识别的企业、存在利用算法自动化决策的企业、存在跨境数据转移的企业等。与此同时，涉及人工智能、传媒、金融、医疗、游戏、安防等行业的企业由于可能适用更为细化的监管规则，从而导致在进行个人信息合规审计时需要关注与其行业、业务特征相关的特殊规定，因此，特定行业的企业应当额外注意与行业有关的特殊要求。如同前文中提及的《生成式人工智能服务管理暂行办法》中对使用自动化决策、算法模型等有关技术的企业的特别规定，对于需要大量收集、存储、使用人脸识别数据的特定行业企业，如安防企业可能需要适用专门的国家标准《GB/T 41819-2022 信息安全技术 人脸识别数据安全要求》等。